La fraude au président est une technique désormais bien ancrée chez les cybercriminels. Elle cible avant tout l'équipe finance d'une entreprise, qui pourtant peut être assez facilement sensibilisée. Il suffit de le vouloir…
En quelques coups de fil ou e-mails, le comptable de votre entreprise peut virer des dizaines de milliers d'euros à un escroc. Les cybercriminels, parmi l'arsenal de techniques qu'ils ont à disposition, s'amusent de celle qui consiste à usurper l'identité d'un dirigeant pour berner les services financiers. On l'appelle la fraude au président. Heureusement, des experts nous livrent leurs secrets pour rapidement briefer ses équipes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quand l'autorité du patron devient une arme contre l'entreprise
Pour celles et ceux qui l'ignorent, la fraude au président repose sur un mécanisme diaboliquement simple, mais redoutablement efficace. « Les équipes financières disposent du contrôle des ressources financières, c'est-à-dire de la possibilité d'effectuer des transferts de fonds », explique Benoit Grünemwald, expert cybersécurité chez ESET. Les criminels l'ont bien compris et exploitent donc cette vulnérabilité.
Martin Kraemer, expert en cybersécurité chez KnowBe4, définit pour nous la technique. « Les cybercriminels se font passer pour des PDG afin de tirer parti de leur autorité financière pour inciter les départements financiers à agir. » L'autorité naturelle du dirigeant devient donc l'arme fatale des escrocs. Qui oserait dire non au grand patron qui vous demande d'effectuer un virement urgent ?
L'ingénierie sociale atteint ici son paroxysme. Les fraudeurs étudient avec minutie leurs cibles. Ils récoltent par exemple des informations à leur sujet sur LinkedIn, analysent les organigrammes des entreprises et frappent au moment opportun. Pendant les vacances du dirigeant, par exemple, quand la vérification devient impossible et que l'urgence paraît plus légitime encore.
L'urgence et le secret, le cocktail des fraudeurs
Car les ressources (moyens, formations, temps, compétences) peuvent manquer, briefer ses équipes finance en un minimum d'heures, voire de minutes n'est pas une mission impossible. Alors pour vous aider à limiter les risques, la lutte contre la fraude au président, c'est d'abord apprendre à ses dirigeants et collaborateurs à reconnaître les signaux d'alerte universels. « Comme dans de nombreuses attaques reposant sur l'ingénierie sociale, le criminel exigera le secret », souligne Benoit Grünemwald. Cette exigence de confidentialité est un peu le premier drapeau rouge à identifier absolument.
Martin Kraemer liste quatre indicateurs infaillibles à ses yeux. « L'utilisation injustifiée de l'urgence, les sous-entendus émotionnels, toute suggestion visant à éviter le processus normal, et toute suggestion de ne parler à personne », décrit-il. Ces quatre signaux forment le socle de détection que chaque collaborateur doit maîtriser sur le bout de doigt, quitte à zapper la pause-café de dix heures pour bien rester concentré.
La pression temporelle demeure l'un des atouts favoris des fraudeurs. Le malfrat « exercera une pression sur l'employé pour qu'il effectue les transactions rapidement et discrètement », précise notre expert d'ESET. L'urgence artificielle a pour but de court-circuiter la réflexion et de pousser à commettre l'erreur.
La riposte anti-fraude en mode express
Si on vous dit que la solution tient en une petite astuce ? « Définir un mot de passe ou une question secrète, connue uniquement des employés, et ne jamais la consigner par écrit. » Cette authentification humaine simple, soufflée par Benoît Grünemwald, pourrait sauver des milliers d'euros en quelques secondes de vérification téléphonique. Et il ne suffit que d'un e-mail ou de quelques secondes pour la transmettre à ses équipes.
Martin Kraemer propose, lui, une approche plus structurelle en quatre étapes. D'abord, il convient de définir des seuils d'approbation, ensuite d'appliquer le principe des quatre yeux (demander à plusieurs personnes de contribuer à la validation d'une action), puis d'utiliser uniquement des fournisseurs vérifiés et de séparer rigoureusement les tâches.
Côté technique, l'expert cyber de KnowBe4 recommande « l'authentification des courriels avec SPF, DKIM, DMARC », qui sont des protocoles de sécurité et une « sécurité de la messagerie basée sur le cloud ». Ces boucliers numériques sont censés filtrer automatiquement les tentatives d'usurpation les plus grossières et réduire à néant ou presque le risque d'exposition.
Chaque minute compte après une cyberattaque
Malgré toutes les précautions, l'erreur humaine reste possible. Dans ce cas, chaque minute compte pour limiter les dégâts. « Il est impératif de déposer plainte et d'informer votre établissement bancaire afin de procéder à la récupération des fonds », insiste Benoit Grünemwald.
Martin Kraemer structure la riposte autour de trois actions simultanées, à savoir « contenir, escalader, coordonner. » Contenir en informant immédiatement la banque, escalader vers toutes les parties prenantes concernées, et coordonner avec les forces de l'ordre et les assureurs. De quoi maximiser ses chances de récupération.
Ce qui prime dans tous les cas dans ces moments critiques, c'est la réactivité. « Cette démarche n'est envisageable que dans des cas précis, et nécessite une action rapide », rappelle l'expert d'ESET. Quinze minutes peuvent faire la différence entre une récupération totale et une perte définitive. Exactement le temps nécessaire pour briefer un minimum vos équipes.
